Gängige Praxis, nicht nur bei uns: Test-Systeme, auf denen die Kundin neue Features testen kann, ohne dass gleich das Live-System aktualisiert wird. Das soll dann aber nicht für die ganze Welte erreichbar sein... wir verwenden apache als Webserver, dort ist die wohl häufigste Lösung der sogenannte htaccess-Schutz, im einfachsten Fall etwas so:
AuthType Basic
AuthName "Unser Test-System"
AuthUserFile /path/outside/of/webroot/.htpasswd
Require valid-user
Das von mir gerne eingesetzte Modul security_review hat grade auf einer unserer Sites festgestellt, dass in der .htaccess im files-Ordner noch
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
anstatt korrekt
<IfModule mod_php7.c>
php_flag engine off
</IfModule>
also mod_php7 stand.
Nebenbei bemerkt: Dries freut sich (und wir mit ihm), dass Impfstoff-Hersteller Biontech/Pfizer und Moderna für ihre Websites Drupal nutzen.
Ich arbeite viel mit "Dev-Modulen" wie environment_indicator, reroute_email oder stage_file_proxy.
Problem ist dabei ja, dass das nicht in die git-verwaltete config kommen soll(te).
Genau dafür gibt es das setting 'config_exclude_modules'.
Schon wieder eine Gratulation: good old Linux ist tatsächlich nicht nur good sondern auch quite old inzwischen: nämlich 30 Jahre!
Wir können kaum in Worte fassen, wir stark wir auf Linux zurückgreifen...
Für fast alle unsere Webprojekte nutzen wir Linux als Server als Entwicklungs- und Produktions-System (davon überwiegend debian GNU/Linux).